5. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований
5.1. Документы, дела, книги и журналы учета, содержащие персональные данные, при достижении целей обработки, или при наступлении иных законных оснований, (например, утратившие практическое значение, а также с истекшим сроком хранения), подлежат уничтожению в соответствии с законодательством.
5.2. Уничтожение документов производится в присутствии всех членов комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов (состав комиссии утверждается приказом).
5.3. Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста или сжигаются.
6. Обязанности Банка
6.1. В целях обеспечения прав и свобод человека и гражданина Банк при обработке персональных данных субъекта ПДн обязан соблюдать следующие требования:
Банк обязан сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение.
При наличии надлежащим образом оформленного запроса, предоставлять субъекту ПДн доступ к его персональным данным, сведениям об обрабатываемых персональных данных субъекта ПДн, а также блокировать или уничтожать персональные данные субъекта ПДн в случаях, предусмотренных законом.
Применять необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного, случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Все мероприятия по защите ПДн Банк проводит за свой счет в порядке, установленном законодательством.
В случае выявления недостоверности персональных данных или неправомерных действий с ними со стороны Банка, по запросу Субъекта ПДн либо уполномоченного органа по защите прав субъектов персональных данных Банк обязан осуществить блокирование персональных данных на период проверки.
В случае подтверждения факта недостоверности персональных данных на основании документов, представленных Субъектом ПДн, либо уполномоченным органом по защите прав субъектов персональных данных, или иных документов, Банк обязан уточнить персональные данные и снять их блокирование.
В случае достижения цели обработки персональных данных Банк обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн.
В случае отзыва субъектом ПДн согласия на обработку своих персональных данных Банк обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между Банком и Субъектом ПДн, а также действующим законодательством и нормативными документами Росархива и Банка России. Об уничтожении ПДн Банк обязан уведомить Субъекта ПДн.
6.2. Меры, принимаемые Банком для защиты персональных данных, определяются внутренними документами Банка и нормативными документами и рекомендациями Банка России в части обеспечения информационной безопасности.
7. Права субъекта ПДн
7.1. Субъект ПДн имеет право:
Получать сведения о наличии у Банка персональных данных, относящихся к нему, знакомиться с личными персональными данными, а также узнавать о цели обработки ПДн.
Получать информацию о способах обработки персональных данных.
Запрашивать сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ.
Получать информацию об источниках получения персональных данных.
Получать информацию о сроках обработки и хранения персональных данных.
Получать сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой отказ от предоставления его персональных данных.
На запрет исключительно автоматизированной обработки персональных данных.
На отзыв согласия на обработку персональных данных.
На ограничение способов и форм обработки персональных данных, в том числе распространение персональных данных без его согласия.
Требовать изменение, уточнение, уничтожение информации о самом себе.
На обжалование неправомерных действий или бездействий при обработке персональных данных.
Требовать от Банка уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них изменениях или исключениях из них.
Иметь доступ к своим персональным данным при обращении в Банк. Банк обязан сообщить субъекту ПДн информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение тридцати дней с даты получения запроса Субъекта ПДн. Сведения о наличии персональных данных должны быть предоставлены субъекту ПДн в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Право Субъекта ПДн на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
|
